killvxk
142 verified skills1,318 total stars
building-vulnerability-scanning-workflow
使用 Nessus、Qualys 和 OpenVAS 等工具构建结构化的漏洞扫描工作流, 对基础设施中的安全漏洞进行发现、优先级排序和修复跟踪。适用于 SOC 团队 需要建立定期漏洞评估流程、将扫描结果与 SIEM 告警集成,以及构建 修复跟踪仪表盘的场景。
development10
building-vulnerability-aging-and-sla-tracking
实施漏洞老化仪表盘和 SLA 跟踪系统,根据基于严重性的时间线衡量修复绩效,并推动问责制落地。
development10
collecting-indicators-of-compromise
在安全事件期间和之后,系统性地收集、分类和分发失陷指标(Indicators of Compromise,IOC),以支持检测、阻断和威胁情报共享。涵盖网络、主机、邮件和行为指标,使用 STIX/TAXII 格式和威胁情报平台。适用于 IOC 收集、指标提取、威胁指标共享、失陷指标、STIX 导出或 IOC 情报丰富化相关请求。
tools10
conducting-domain-persistence-with-dcsync
执行 DCSync 攻击以复制活动目录(Active Directory)凭据,通过提取 KRBTGT、域管理员和服务账户哈希来建立域持久化,并用于创建黄金票据(Golden Ticket)。
development10
conducting-social-engineering-penetration-test
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
testing10
conducting-pass-the-ticket-attack
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
tools10
conducting-phishing-incident-response
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
testing10
conducting-mobile-app-penetration-test
遵循 OWASP 移动应用安全测试指南(MASTG)对 iOS 和 Android 移动应用执行渗透测试,识别数据存储、网络通信、认证、密码学和平台专属安全控制中的漏洞。测试人员对应用二进制文件进行静态分析、运行时动态分析和 API 安全测试,以评估完整的移动攻击面。
development10
conducting-network-penetration-test
对授权目标环境执行全面网络渗透测试,通过主机发现、端口扫描、服务枚举、漏洞识别和受控漏洞利用,评估网络基础设施的安全态势。测试人员遵循 PTES 方法论,从侦察到后渗透和报告全流程执行。
testing10
conducting-post-incident-lessons-learned
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
testing10
conducting-cloud-penetration-testing
本 skill 概述了对 AWS、Azure 和 GCP 云环境进行授权渗透测试的方法论。 涵盖理解测试范围的共享责任模型、利用 Pacu 和 ScoutSuite 等云专用攻击工具、 利用 IAM 错误配置、测试针对云元数据服务的 SSRF, 以及按照 MITRE ATT&CK 云矩阵对发现进行报告。
testing10
collecting-open-source-intelligence
使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。
development10
building-role-mining-for-rbac-optimization
运用自底向上和自顶向下的角色挖掘技术,从现有用户-权限分配中发现最优 RBAC 角色,减少角色爆炸并强制执行最小权限原则。
development10
building-threat-actor-profile-from-osint
使用开源情报(OSINT)技术构建全面的威胁行为者档案,记录对手的动机、能力、基础设施和 TTP,用于主动防御。
development10
building-threat-intelligence-enrichment-in-splunk
使用查询表、模块化输入和威胁情报框架,在 Splunk Enterprise Security 中构建自动化威胁情报富化流水线
development10
building-vulnerability-exception-tracking-system
构建具有审批工作流、补偿控制文档和到期管理功能的漏洞例外与风险接受跟踪系统。
development10
bypassing-authentication-with-forced-browsing
在授权安全评估中,通过枚举 URL 并绕过身份验证控制,发现和访问未受保护的页面、API 及管理界面。
development10
conducting-malware-incident-response
响应企业端点的恶意软件感染,识别恶意软件家族、确定感染向量、评估传播范围,并执行根除程序。涵盖从检测到遏制、分析、清除和恢复的完整生命周期。适用于恶意软件响应、恶意软件根除、木马清除、蠕虫遏制、恶意软件分类或受感染端点修复相关请求。
testing10
conducting-cloud-infrastructure-penetration-test
针对 AWS、Azure 和 GCP 执行云基础设施渗透测试,使用 Pacu、ScoutSuite 和 Prowler 识别 IAM 错误配置、暴露的存储桶、不安全的无服务器函数和云原生攻击路径。
testing10
conducting-external-reconnaissance-with-osint
使用开源情报(OSINT)技术执行外部侦察,在不直接与目标系统交互的情况下映射组织的外部攻击面。测试人员从 DNS 记录、证书透明度日志、搜索引擎、社交媒体、代码仓库和数据泄露数据库等公开来源收集信息,以构建全面的目标画像。
data-ai10
conducting-full-scope-red-team-engagement
规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。
tools10
conducting-internal-network-penetration-test
执行内部网络渗透测试,模拟内部威胁或后渗透攻击者,以识别企业网络内的横向移动路径、权限提升向量和敏感数据暴露情况。
testing10
building-soc-playbook-for-ransomware
构建结构化的 SOC 勒索软件攻击事件响应手册,涵盖检测、遏制、根除和恢复阶段, 包含特定的 SIEM 查询、隔离流程和决策树。适用于 SOC 团队需要符合 NIST SP 800-61 和 MITRE ATT&CK 勒索软件技术的规范化响应流程时。
development10
conducting-man-in-the-middle-attack-simulation
在授权环境中使用 Ettercap、mitmproxy 和 Bettercap 模拟中间人攻击(man-in-the-middle attacks), 拦截、分析和修改网络流量,以测试加密执行、证书验证和检测能力。
tools10
conducting-memory-forensics-with-volatility
使用 Volatility 3 执行内存取证分析,从事件响应期间采集的 RAM 转储中提取恶意软件执行、进程注入、网络连接和凭据窃取的证据。涵盖内存采集、进程分析、DLL 检查和恶意软件检测。适用于内存取证、RAM 分析、Volatility 框架、内存转储调查、易失性证据分析或实时内存采集相关请求。
tools10
conducting-cloud-incident-response
响应云环境(AWS、Azure、GCP)中的安全事件,执行基于身份的遏制、云原生日志分析、资源隔离和针对临时云基础设施的取证证据采集。适用于云事件响应、AWS 安全事件、Azure 受攻陷、GCP 泄露、云取证或云身份受攻陷相关请求。
testing10
building-soc-escalation-matrix
构建结构化的 SOC 升级矩阵,定义严重性分级、响应 SLA、升级路径和安全事件通知流程。
development10
building-red-team-c2-infrastructure-with-havoc
部署和配置 Havoc C2 框架,包括团队服务器、HTTPS 监听器、重定向器和 Demon 代理,适用于授权红队(Red Team)行动。
development10
building-threat-hunt-hypothesis-framework
构建系统化的威胁狩猎假设框架,将威胁情报、攻击模式和环境数据转化为可测试的狩猎假设。
development10
building-threat-intelligence-platform
构建威胁情报平台(TIP)涉及将多个 CTI 工具部署和集成到统一系统中,用于收集、分析、富化和分发威胁情报,包括 MISP、OpenCTI、TheHive 和 Cortex 的开源工具集成。
development10
building-vulnerability-dashboard-with-defectdojo
部署 DefectDojo 作为集中式漏洞管理仪表盘,支持扫描器集成、去重、指标跟踪和 Jira 工单工作流。
development10
collecting-threat-intelligence-with-misp
MISP(恶意软件信息共享平台)是一个开源威胁情报平台,用于收集、共享、存储和关联定向攻击的失陷指标(IOC)、威胁情报、金融欺诈信息、漏洞信息或反恐信息。
tools10
conducting-mobile-application-penetration-test
对 Android 和 iOS 应用执行移动应用渗透测试,使用 Frida、Objection 和 MobSF 识别不安全的数据存储、证书固定绕过、API 漏洞、二进制保护缺陷和运行时操控问题。
development10
conducting-internal-reconnaissance-with-bloodhound-ce
使用 BloodHound 社区版(Community Edition)进行内部活动目录(Active Directory)侦察,绘制攻击路径图,识别权限提升链,并发现域环境中的错误配置。
data-ai10
building-phishing-reporting-button-workflow
在电子邮件客户端中实现网络钓鱼(Phishing)举报按钮,配合自动化分类工作流,对用户举报的可疑电子邮件进行分析并向举报人反馈结果。
development10
building-soc-metrics-and-kpi-tracking
构建 SOC 绩效指标和 KPI 跟踪仪表盘,使用 SIEM 数据衡量平均检测时间(MTTD)、 平均响应时间(MTTR)、告警质量比率、分析师生产力和检测覆盖率。适用于 SOC 领导层 需要运营可视化、持续改进跟踪或高管级安全运营效能报告的场景。
development10
building-threat-feed-aggregation-with-misp
部署 MISP(恶意软件信息共享平台)来聚合、关联和分发来自多个来源的威胁情报推送,用于集中式 IOC 管理和自动化 SIEM 集成。
development10
collecting-volatile-evidence-from-compromised-host
按照易失性顺序从受攻陷系统收集易失性取证证据,在数据丢失前保全内存、网络连接、进程和系统状态。
tools10
building-threat-intelligence-feed-integration
构建自动化威胁情报(Threat Intelligence)源集成管道,将 STIX/TAXII 源、 开源威胁情报和商业 TI 平台接入 SIEM 和安全工具,实现实时 IOC 匹配和告警。 适用于 SOC 团队需要通过自动化源接入、标准化、评分和分发到检测系统来 将威胁情报付诸实践的场景。
development10
conducting-api-security-testing
对 REST、GraphQL 和 gRPC API 进行安全测试,识别认证、授权、速率限制、输入验证和业务逻辑中的漏洞。测试人员以 OWASP API 安全 Top 10 作为测试框架,结合 Burp Suite 拦截、Postman 集合和自定义脚本,在每个权限级别测试端点安全性。
development10
analyzing-cobaltstrike-malleable-c2-profiles
使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件,提取 C2 指标、检测规避技术并生成网络检测签名。
tools9
analyzing-disk-image-with-autopsy
使用 Autopsy 对磁盘镜像进行全面取证分析,恢复文件、检查痕迹并构建调查时间线。
content-media9
analyzing-dns-logs-for-exfiltration
分析 DNS 查询日志,利用熵值分析、查询量异常检测和子域名长度检测,在 SIEM 平台中检测 DNS 隧道数据外泄、DGA 域名通信和隐蔽 C2 信道。适用于 SOC 团队识别绕过传统网络安全控制的 DNS 威胁。
tools9
analyzing-golang-malware-with-ghidra
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
development9
analyzing-kubernetes-audit-logs
解析 Kubernetes API server 审计日志(JSON lines 格式),检测 exec 进入 Pod、 Secret 访问、RBAC 修改、特权 Pod 创建以及匿名 API 访问行为。 从审计事件模式构建威胁检测规则。适用于调查 Kubernetes 集群入侵 或构建 k8s 专用 SIEM 检测规则。
development9
analyzing-malware-behavior-with-cuckoo-sandbox
在 Cuckoo Sandbox 中执行恶意软件样本以观察运行时行为,包括进程创建、文件系统修改、 注册表更改、网络通信和 API 调用。生成全面的行为报告,用于恶意软件分类和 IOC 提取。 适用于动态恶意软件分析、沙箱引爆、行为分析或自动化恶意软件执行相关请求。
development9
analyzing-malware-sandbox-evasion-techniques
通过分析 Cuckoo/AnyRun 行为报告中的时序检查、虚拟机工件查询、用户交互检测和睡眠膨胀模式,检测恶意软件样本中的沙箱逃避技术
databases9
analyzing-network-covert-channels-in-malware
检测和分析恶意软件使用的隐蔽通信信道,包括 DNS 隧道、ICMP 数据泄露、HTTP 隐写术和协议滥用,用于 C2 通信和数据泄露。
tools9
analyzing-memory-forensics-with-lime-and-volatility
使用 LiME(Linux Memory Extractor)内核模块进行 Linux 内存采集, 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应(incident response)。
testing9
analyzing-office365-audit-logs-for-compromise
通过 Microsoft Graph API 解析 Office 365 统一审计日志,检测邮件转发规则创建、收件箱委托、可疑 OAuth 应用授权以及其他账户失陷指标。
development9
analyzing-phishing-email-headers
电子邮件头包含关键元数据,能够揭示邮件的真实来源、路由路径和身份验证状态。分析这些头字段是识别钓鱼(phishing)尝试、验证发件人真实性和收集威胁情报的基础技能。
data-ai9
analyzing-ransomware-encryption-mechanisms
分析勒索软件家族使用的加密算法、密钥管理和文件加密例程, 评估解密可行性、识别实现上的弱点并支持恢复工作。 涵盖 AES、RSA、ChaCha20 及混合加密方案。 适用于勒索软件密码分析、加密分析、密钥恢复评估或勒索软件解密可行性等请求。
tools9
analyzing-powershell-script-block-logging
从 EVTX 文件中解析 Windows PowerShell 脚本块日志(事件 ID 4104),以检测混淆命令、编码载荷和离地攻击技术(living-off-the-land)。使用 python-evtx 提取并重建多块脚本,通过熵分析和模式匹配检测 Base64 编码命令、Invoke-Expression 滥用、下载植入器(download cradles)和 AMSI 绕过尝试。
development9
analyzing-security-logs-with-splunk
利用 Splunk Enterprise Security 和 SPL(Search Processing Language,搜索处理语言),通过日志关联、时间线重建和异常检测来调查安全事件。涵盖 Windows 事件日志、防火墙日志、代理日志和认证数据分析。适用于 Splunk 调查、SPL 查询、SIEM 日志分析、安全事件关联或基于日志的事件调查相关请求。
testing9
analyzing-ransomware-leak-site-intelligence
监控和分析勒索软件组织的数据泄露站点(DLS),追踪受害者发布情况,提取组织战术的威胁情报,并评估特定行业的勒索软件风险以实现主动防御。
tools9
analyzing-threat-actor-ttps-with-mitre-navigator
使用 ATT&CK Navigator 和 attackcti Python 库将高级持续性威胁(APT)组织的战术、技术和过程(TTP)映射到 MITRE ATT&CK 框架。分析人员查询 STIX/TAXII 数据以获取组织-技术关联,生成 Navigator 层文件进行可视化,并将防御覆盖与对手画像进行对比。
development9
analyzing-network-traffic-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络数据包,识别恶意流量模式、诊断协议问题、提取工件, 并支持对授权网络分段进行事件响应调查。
tools9
analyzing-typosquatting-domains-with-dnstwist
使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名,从而检测域名抢注(Typosquatting)、同形字符钓鱼和品牌冒充域名。
data-ai9
analyzing-threat-landscape-with-misp
使用 MISP(恶意软件信息共享平台)通过查询事件统计、属性分布、威胁行为者 galaxy 集群和标签趋势来分析威胁态势。使用 PyMISP 拉取事件数据、计算 IOC 类型分布、识别顶级威胁行为者和恶意软件家族,并生成含时序趋势的威胁态势报告。
tools9
analyzing-windows-event-logs-in-splunk
在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志,使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升(Privilege Escalation)、持久化(Persistence)机制和横向移动 (Lateral Movement)。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询,或对 Windows 终端和域控制器执行取证时间线分析。
testing9
analyzing-windows-amcache-artifacts
解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。
testing9
analyzing-windows-prefetch-with-python
使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。
development9
auditing-gcp-iam-permissions
使用 gcloud CLI、Policy Analyzer 和 IAM Recommender,审计 Google Cloud Platform IAM 权限, 识别过度宽松的绑定、原始角色使用、服务账户密钥泛滥和跨项目访问风险。
tools9
auditing-azure-active-directory-configuration
审计 Microsoft Entra ID(Azure Active Directory)配置,使用 AzureAD PowerShell、Microsoft Graph API 和 ScoutSuite 识别高风险身份验证策略、过度宽松的角色分配、过期账户、条件访问缺口和来宾用户风险。
development9
auditing-terraform-infrastructure-for-security
使用 Checkov、tfsec、Terrascan 和 OPA/Rego 策略,审计 Terraform 基础设施即代码中的安全错误配置, 在云部署前检测过度宽松的 IAM 策略、公开资源暴露、缺失加密和不安全的默认设置。
development9
building-attack-pattern-library-from-cti-reports
从网络威胁情报报告中提取和归类攻击模式,构建基于 STIX 的结构化库,映射到 MITRE ATT&CK,用于检测工程和以威胁为导向的防御。
development9
building-detection-rule-with-splunk-spl
使用 Splunk 搜索处理语言(SPL)关联搜索构建有效的检测规则,在 SOC 环境中识别安全威胁。
development9
building-cloud-security-posture-management
本 skill 指导安全架构师设计和实施云安全态势管理(CSPM)计划,持续监控 AWS、Azure 和 GCP 的基础设施配置。涵盖选择 Wiz、Prisma Cloud 或原生服务等 CSPM 工具、定义策略基线、 自动化漂移检测,以及将态势发现集成到 SOC 工作流。
development9
building-identity-governance-lifecycle-process
构建全面的身份治理(Identity Governance)与生命周期管理流程,包括入职-调岗-离职(Joiner-Mover-Leaver)自动化、角色挖掘、访问申请工作流、定期重新认证以及孤立账户修复,使用 IGA 平台实现。 适用于身份生命周期管理、JML 流程、基于角色的访问配置或身份治理程序设计等相关请求。
development9
building-devsecops-pipeline-with-gitlab-ci
在 GitLab CI/CD 中设计并实现全面的 DevSecOps 流水线,集成 SAST、DAST、容器扫描、依赖扫描和密钥检测。
development9
building-ioc-defanging-and-sharing-pipeline
构建自动化流水线,对失陷指标(URL、IP、域名、邮件)进行去危化处理以便安全共享,并通过 TAXII 推送和威胁情报平台以 STIX 格式分发。
development9
building-incident-response-playbook
设计并记录结构化的事件响应手册(Incident Response Playbook),定义与 NIST SP 800-61r3 和 SANS PICERL 框架对齐的特定事件类型逐步处理程序。涵盖手册结构、决策树、升级标准、RACI 矩阵和与 SOAR 平台的集成。适用于 IR 手册创建、事件响应程序文档、响应运行手册(Runbook)开发或 SOAR 手册设计等请求。
development9
analyzing-active-directory-acl-abuse
使用 ldap3 检测 Active Directory 中危险的 ACL 配置错误,识别 GenericAll、WriteDACL 和 WriteOwner 等滥用路径
documentation9
analyzing-linux-system-artifacts
检查 Linux 系统痕迹,包括身份验证日志、定时任务、Shell 历史和系统配置,以发现入侵或未授权活动的证据。
tools9
building-malware-incident-communication-template
构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。
development9
building-incident-timeline-with-timesketch
使用 Timesketch 构建协作式取证事件时间线,对多源事件数据进行摄入、规范化和分析,用于攻击链重建和调查文档化。
development9
building-identity-federation-with-saml-azure-ad
在本地部署的 Active Directory 与 Azure AD(Microsoft Entra ID)之间建立 SAML 2.0 身份联合(Identity Federation),实现无缝跨域认证和云应用 SSO。
development9
building-cloud-siem-with-sentinel
本 skill 涵盖将 Microsoft Sentinel 部署为云原生 SIEM 和 SOAR 平台以实现集中安全运营。 详细介绍为多云日志摄入配置数据连接器、编写 KQL 检测查询、使用 Logic Apps 构建自动化响应手册, 以及利用 Sentinel 数据湖对 AWS、Azure 和 GCP 安全遥测进行 PB 级威胁狩猎。
development9
building-adversary-infrastructure-tracking-system
构建自动化系统,利用被动 DNS、证书透明度、WHOIS 数据和 IP 富化来映射和监控威胁行为者的命令与控制(C2)网络,追踪对手基础设施。
development9
auditing-kubernetes-rbac-permissions
Kubernetes 基于角色的访问控制(RBAC)审计,系统性地审查角色、集群角色、绑定关系及服务账户权限,以识别过度宽松的访问配置、权限提升路径及违反最小权限原则的情况。
testing9
auditing-cloud-with-cis-benchmarks
本 skill 详细介绍如何使用互联网安全中心(Center for Internet Security)基准对 AWS、Azure 和 GCP 进行云安全审计。 涵盖解读 CIS Foundations Benchmark 控制项、使用 Prowler 和 ScoutSuite 等工具运行自动化评估、 修复未通过的控制项,以及针对 CIS AWS v5、Azure v4 和 GCP v4 维持持续合规监控。
testing9
analyzing-web-server-logs-for-intrusion
解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。
development9
analyzing-tls-certificate-transparency-logs
通过 crt.sh 和 pycrtsh 查询证书透明度(Certificate Transparency)日志,检测钓鱼域名、未授权证书签发和影子 IT。使用 Levenshtein 距离监控新签发证书中的仿域名和品牌仿冒行为。适用于主动检测钓鱼域名和证书监控。
tools9
analyzing-slack-space-and-file-system-artifacts
检查文件系统松弛空间(slack space)、MFT 条目、USN 日志和备用数据流,以恢复 NTFS 卷上的隐藏数据并重建文件活动。
business9
analyzing-cobalt-strike-beacon-configuration
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
tools9
analyzing-powershell-empire-artifacts
通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名,检测 Windows 事件日志中的 PowerShell Empire 框架工件。
data-ai9
analyzing-windows-shellbag-artifacts
分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。
tools9
analyzing-persistence-mechanisms-in-linux
检测和分析 Linux 持久化机制,包括 crontab 条目、systemd 服务单元、LD_PRELOAD 劫持、bashrc 修改和 authorized_keys 后门,使用 auditd 和文件完整性监控
testing9
analyzing-apt-group-with-mitre-navigator
使用 MITRE ATT&CK Navigator 分析高级持续性威胁(APT)组织的技术手法,创建对手 TTP 的分层热力图,用于检测差距分析和威胁导向防御。
tools9
analyzing-network-traffic-of-malware
分析恶意软件在沙箱执行或实时事件响应期间生成的网络流量, 使用 Wireshark、Zeek 和 Suricata 识别 C2 协议、数据泄露信道、 载荷下载和横向移动模式。适用于恶意软件网络分析、C2 流量解码、 恶意软件 PCAP 分析或基于网络的恶意软件检测相关请求。
tools9
analyzing-packed-malware-with-upx-unpacker
识别并解包 UPX 加壳及其他加壳恶意软件样本,以暴露原始可执行代码供静态分析使用。 涵盖标准 UPX 解包及处理阻止自动解压缩的修改版 UPX 头部。 适用于恶意软件解包、UPX 解压缩、去除加壳保护或为分析准备加壳样本等请求。
tools9
building-patch-tuesday-response-process
建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。
development9
analyzing-certificate-transparency-for-phishing
使用 crt.sh 和 Certstream 监控证书透明度日志,检测钓鱼域名、仿冒证书以及针对您所在组织的未经授权的证书签发行为。
tools9
auditing-aws-s3-bucket-permissions
使用 AWS CLI、S3audit 和 Prowler,系统性审计 AWS S3 存储桶权限,识别可公开访问的存储桶、 过度宽松的 ACL、错误配置的存储桶策略和缺失的加密设置,以强制执行最小权限数据访问控制。
tools9
building-automated-malware-submission-pipeline
构建自动化恶意软件提交和分析流水线,从终端和邮件网关收集可疑文件, 将其提交至沙箱环境和多引擎扫描器,并生成带有失陷指标(IOC)的研判结论以集成到 SIEM。 适用于 SOC 团队需要将恶意软件分析扩展到高容量告警分诊的场景,超越手动沙箱提交的限制。
development9
acquiring-disk-image-with-dd-and-dcfldd
使用 dd 和 dcfldd 创建取证级逐位磁盘镜像,通过哈希验证保持证据完整性。
content-media9
analyzing-network-packets-with-scapy
使用 Scapy 构造、发送、嗅探和解析网络数据包,用于协议分析(protocol analysis)、网络侦察(network reconnaissance)以及在授权安全测试中进行流量异常检测
data-ai9
analyzing-linux-audit-logs-for-intrusion
解析和分析 Linux auditd 日志,使用 ausearch 和 Python 检测入侵指标, 包括未授权文件访问、权限提升、系统调用异常和可疑进程执行。
development9
building-ioc-enrichment-pipeline-with-opencti
OpenCTI 是一个以 STIX 2.1 为原生数据模型的开源网络威胁情报知识管理平台。本技能涵盖使用 OpenCTI 连接器生态系统构建自动化 IOC 富化流水线,通过 VirusTotal、Shodan、AbuseIPDB、GreyNoise 等来源对指标进行富化。
development9
analyzing-supply-chain-malware-artifacts
调查供应链攻击工件,包括被木马化的软件更新、被攻陷的构建流水线和侧载的依赖项,以识别入侵向量和攻陷范围。
data-ai9
analyzing-ios-app-security-with-objection
使用基于 Frida 的工具包 Objection 对 iOS 应用程序进行运行时移动安全探测, 无需越狱即可与应用内部交互。适用于评估 iOS 应用安全态势、绕过客户端防护措施、 转储 Keychain 条目、检查文件系统存储以及评估运行时行为。当请求涉及 iOS 安全测试、 Objection 运行时分析、基于 Frida 的 iOS 评估或移动运行时探测时激活。
testing9
analyzing-windows-registry-for-artifacts
提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。
tools9
analyzing-threat-actor-ttps-with-mitre-attack
MITRE ATT&CK 是基于真实世界观察的全球可访问的对手战术、技术和过程(TTP)知识库。本技能涵盖系统性地将威胁行为者行为映射到 ATT&CK 框架、使用 ATT&CK Navigator 构建技术覆盖热力图、识别检测差距,以及生成将观察到的 IOC 关联到 Enterprise、Mobile 和 ICS 矩阵中特定对手技术的可执行情报报告。
tools9
analyzing-linux-kernel-rootkits
使用 Volatility3 Linux 插件(check_syscall、lsmod、hidden_modules)分析 Linux 内存转储,结合 rkhunter 系统扫描和 /proc 与 /sys 差异分析,检测 hooked syscall、隐藏内核模块和被篡改的系统结构,以识别内核级 rootkit。
testing9
analyzing-android-malware-with-apktool
使用 apktool 进行反编译、jadx 恢复 Java 源码、androguard 进行权限分析,对 Android APK 恶意软件样本执行静态分析,包括清单检查和可疑 API 调用检测。
tools9
analyzing-bootkit-and-rootkit-samples
分析感染主引导记录(MBR)、卷引导记录(VBR)或 UEFI 固件以在操作系统底层获取持久化的 bootkit 和高级 rootkit 恶意软件。 涵盖引导扇区分析、UEFI 模块检查和反 rootkit 检测技术。 适用于 bootkit 分析、MBR 恶意软件调查、UEFI 持久化分析或 OS 前恶意软件检测相关请求。
tools9
analyzing-campaign-attribution-evidence
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
data-ai9
analyzing-cloud-storage-access-patterns
通过分析 CloudTrail Data Events、GCS 审计日志和 Azure Storage Analytics,检测 AWS S3、GCS 和 Azure Blob Storage 中的异常访问模式。识别非工作时间的批量下载、来自新 IP 地址的访问、异常 API 调用(GetObject 峰值)以及使用统计基线和时间序列异常检测的潜在数据外泄行为。
development9
analyzing-cobalt-strike-malleable-profiles
使用 pyMalleableC2 解析 Cobalt Strike 可延展 C2 配置文件,提取 Beacon 配置、HTTP 通信模式以及休眠/抖动设置。结合 JARM TLS 指纹识别在网络上检测 C2 服务器。适用于调查疑似 Cobalt Strike 基础设施或为 C2 流量构建检测签名。
tools9
analyzing-command-and-control-communication
分析恶意软件命令与控制(C2)通信协议,以了解 beacon 模式、命令结构、数据编码和基础设施。 涵盖 HTTP、HTTPS、DNS 和自定义协议 C2 分析,用于检测规则开发和威胁情报。 适用于 C2 分析、beacon 检测、C2 协议逆向工程或命令与控制基础设施绘图相关请求。
tools9
analyzing-cyber-kill-chain
根据 Lockheed Martin Cyber Kill Chain 框架分析入侵活动,识别对手已完成的阶段、防御成功或失败的位置,以及哪些控制措施本可在更早阶段中断攻击。适用于事后分析、构建以预防为中心的安全控制,或将检测差距映射到杀伤链阶段时使用。
data-ai9
analyzing-docker-container-forensics
通过分析镜像、层、卷、日志和运行时痕迹,调查受损的 Docker 容器,识别恶意活动和证据。
devops9
analyzing-email-headers-for-phishing-investigation
解析和分析电子邮件头部以追踪钓鱼邮件的来源,通过 SPF、DKIM 和 DMARC 验证来核实发件人真实性并识别伪造行为。
data-ai9
analyzing-ethereum-smart-contract-vulnerabilities
使用 Slither 和 Mythril 对 Solidity 智能合约进行静态分析和符号执行,在部署到以太坊主网之前检测重入攻击、整数溢出、访问控制缺陷和其他漏洞类型。
tools9
analyzing-heap-spray-exploitation
使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击,识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。
development9
analyzing-indicators-of-compromise
分析失陷指标(IOC),包括 IP 地址、域名、文件哈希、URL 和电子邮件工件,以确定恶意置信度、攻击活动溯源归因和封锁优先级。适用于对来自钓鱼邮件、安全告警或外部威胁情报的 IOC 进行分诊;使用多源情报对原始 IOC 进行富化;或作出封锁/监控/白名单决策时使用。
tools9
analyzing-linux-elf-malware
分析恶意 Linux ELF(可执行和可链接格式)二进制文件,包括针对 Linux 服务器、容器和云基础设施的僵尸网络、 挖矿程序、勒索软件和 rootkit。涵盖 x86_64 和 ARM ELF 样本的静态分析、动态追踪和逆向工程。 适用于 Linux 恶意软件分析、ELF 二进制文件调查、Linux 服务器被攻陷评估或容器恶意软件分析相关请求。
tools9
analyzing-lnk-file-and-jump-list-artifacts
分析 Windows LNK 快捷方式文件和 Jump List 制品,使用 LECmd、JLECmd 以及对 Shell Link 二进制格式的手动解析,以建立文件访问、程序执行和用户活动的证据。
tools9
analyzing-macro-malware-in-office-documents
分析嵌入在 Microsoft Office 文档(Word、Excel、PowerPoint)中的恶意 VBA 宏, 识别下载摇篮、载荷执行、持久化机制和反分析技术。 使用 olevba、oledump 和 VBA 去混淆提取攻击链。 适用于 Office 宏分析、VBA 恶意软件调查、恶意文档分析或基于文档的威胁检查相关请求。
documentation9
analyzing-malicious-pdf-with-peepdf
使用 peepdf、pdfid 和 pdf-parser 对恶意 PDF 文档进行静态分析, 提取嵌入的 JavaScript、shellcode 和可疑对象。
development9
analyzing-malicious-url-with-urlscan
URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。
development9
analyzing-malware-family-relationships-with-malpedia
使用 Malpedia 平台和 API 研究恶意软件家族关系、追踪变体演化、将家族关联到威胁行为者,并整合 YARA 规则用于跨恶意软件谱系的检测。
development9
analyzing-malware-persistence-with-autoruns
使用 Sysinternals Autoruns 系统化识别和分析 Windows 系统上注册表键、计划任务、服务、驱动程序和启动位置中的恶意软件持久化机制。
tools9
analyzing-memory-dumps-with-volatility
使用 Volatility 框架分析被攻陷系统的 RAM 内存转储,以识别恶意进程、注入代码、 网络连接、加载模块和提取凭据。支持 Windows、Linux 和 macOS 内存取证。 适用于内存取证、RAM 分析、易失性数据检查、进程注入检测或内存驻留恶意软件调查相关请求。
tools9
analyzing-mft-for-deleted-file-recovery
通过检查 MFT 记录条目、$LogFile、$UsnJrnl 和 MFT 松弛空间,使用 MFTECmd、analyzeMFT 和 X-Ways Forensics 分析 NTFS 主文件表($MFT)以恢复已删除文件的元数据和内容。
tools9
analyzing-network-flow-data-with-netflow
解析 NetFlow v9 和 IPFIX 记录,检测容量异常(volumetric anomalies)、端口扫描(port scanning)、数据外泄(data exfiltration)和 C2 信标模式(C2 beaconing patterns)。使用 Python netflow 库解码流记录, 构建流量基线,并应用统计分析识别字节数异常、连接时长异常和周期性定时模式的流量。
development9
analyzing-network-traffic-for-incidents
分析网络流量捕获和流量数据,以识别安全事件期间的攻击者活动,包括命令与控制(C2)通信、横向移动(lateral movement)、数据外泄(exfiltration)和漏洞利用尝试。使用 Wireshark、Zeek 和 NetFlow 分析技术。适用于网络流量分析、数据包捕获调查、PCAP 分析、网络取证、C2 流量检测或数据外泄检测等场景。
testing9
analyzing-outlook-pst-for-email-forensics
分析 Microsoft Outlook PST 和 OST 文件,提取电子邮件取证证据,包括邮件内容、邮件头、附件、已删除邮件及元数据,使用 libpff、pst-utils 和取证电子邮件分析工具,适用于法律调查和事件响应。
data-ai9
analyzing-pdf-malware-with-pdfid
使用 PDFiD、pdf-parser 和 peepdf 分析恶意 PDF 文件,在不打开文档的情况下 识别嵌入的 JavaScript、shellcode、漏洞利用代码和可疑对象。 确定攻击向量并提取嵌入的载荷以进行进一步分析。 适用于 PDF 恶意软件分析、恶意文档分析、PDF 漏洞利用调查或可疑附件分类等请求。
development9
analyzing-prefetch-files-for-execution-history
解析 Windows Prefetch 文件,确定程序执行历史,包括运行次数、时间戳和引用文件,用于取证调查。
tools9
analyzing-threat-intelligence-feeds
分析结构化和非结构化威胁情报(CTI)推送,提取可操作的指标、对手战术和攻击活动上下文。适用于导入商业或开源 CTI 情报、评估情报质量、将数据规范化为 STIX 2.1 格式,或使用攻击活动溯源归因富化现有 IOC 时使用。
tools9
analyzing-usb-device-connection-history
从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。
development9
analyzing-windows-lnk-files-for-artifacts
解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。
tools9
auditing-kubernetes-cluster-rbac
使用 kubectl、rbac-tool、KubiScan 和 Kubeaudit,审计 Kubernetes 集群 RBAC 配置, 识别过度宽松的角色、通配符权限、危险的 ClusterRoleBindings、服务账户滥用和权限提升路径。
tools9
automating-ioc-enrichment
使用 SOAR 平台、Python 流水线或 TIP Playbook 自动化对原始失陷指标(IOC)进行多源威胁情报上下文富化,以减少分析师分诊时间并标准化富化输出。适用于构建与 SIEM 告警、邮件提交流水线或威胁情报批量 IOC 处理集成的自动化富化工作流时使用。
development9
building-c2-infrastructure-with-sliver-framework
使用 BishopFox 的 Sliver C2 框架构建和配置具备韧性的命令与控制(Command-and-Control)基础设施,包含重定向器(redirector)、HTTPS 监听器和多操作员支持,适用于授权红队(Red Team)演练。
development9
building-detection-rules-with-sigma
使用 Sigma 规则格式构建与供应商无关的检测规则,用于跨 SIEM 平台(包括 Splunk、Elastic 和 Microsoft Sentinel)的威胁检测。适用于从威胁情报创建可移植检测逻辑、将规则映射到 MITRE ATT&CK 技术,或使用 sigmac 或 pySigma 后端将社区 Sigma 规则转换为平台特定查询。
development9
building-incident-response-dashboard
在 Splunk、Elastic 或 Grafana 中构建实时事件响应(Incident Response)仪表盘,为安全运营中心(SOC)分析师和领导层提供主动事件处理过程中的态势感知(Situational Awareness),追踪受影响系统、遏制状态、失陷指标(IOC)扩散和响应时间线。适用于 IR 团队在事件协调和事后报告期间需要统一可见性的场景。
development9
analyzing-ransomware-network-indicators
通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换
tools9
analyzing-api-gateway-access-logs
解析 API 网关访问日志(AWS API Gateway、Kong、Nginx),检测 BOLA/IDOR 攻击、速率限制绕过、凭据扫描和注入尝试。使用 pandas 进行请求模式的统计分析和异常检测。适用于调查 API 滥用或构建 API 专项威胁检测规则。
development9
analyzing-browser-forensics-with-hindsight
使用 Hindsight 分析基于 Chromium 的浏览器痕迹,从 Chrome、Edge、Brave 和 Opera 中提取浏览历史、下载记录、Cookie、缓存内容、自动填充数据、已保存密码和浏览器扩展,用于取证调查。
tools9
analyzing-azure-activity-logs-for-threats
通过 azure-monitor-query 查询 Azure Monitor 活动日志和登录日志,检测可疑管理操作、不可能的地理旅行(Impossible Travel)、权限提升和资源修改。为 Azure 环境的威胁狩猎构建 KQL 查询。适用于调查可疑的 Azure 租户活动或构建云 SIEM 检测规则。
devops9